第7章操作系统安全技术.ppt

网络安全技术 本章作业思考题实验要求 操作系统安全措施安全配置方案初级篇安全配置方案中 高级篇 数据备份方案磁盘备份双机 网络备份 数据备份与恢复策略数据备份策略灾难恢复策略 操作系统安全技术操作系统安全技术概述各类操作系统安全技术 数据备份概述产生数据失效的主要原因备份及其相关概念 第7章操作系统安全与数据备份技术 网络安全技术 操作系统安全技术概述操作系统的安全需求操作系统安全防护的一般方法操作系统资源防护技术 操作系统安全技术 操作系统的安全需求 操作系统安全技术概述 安全策略标记鉴别责任保证连续保护 操作系统的安全需求 操作系统安全技术概述 安全策略标记鉴别责任保证连续保护 对于认证的主体和客体 系统必须有一个规则集用于决定一个特定的主体是否可以访问一个具体的客体 操作系统的安全需求 操作系统安全技术概述 安全策略标记鉴别责任保证连续保护 给客体一个能够有效反映它的安全级别的标记 操作系统的安全需求 操作系统安全技术概述 安全策略标记鉴别责任保证连续保护 存储信息的每一次访问都应受到控制 即只有授权的用户才能访问这些信息 操作系统的安全需求 操作系统安全技术概述 安全策略标记鉴别责任保证连续保护 系统要保护审计数据不受破坏 以确保违背安全的事件在发生后可被探测出来 操作系统的安全需求 操作系统安全技术概述 安全策略标记鉴别责任保证连续保护 一个计算机系统应该能够具有可以被评估的各种软硬件机制 应提供充分保证系统实现上述四种与安全有关的需求 操作系统的安全需求 操作系统安全技术概述 安全策略标记鉴别责任保证连续保护 实现这些基本需求的可信机制必须能不断地提供保护以防止入侵和未经授权的篡改 操作系统安全防护的一般方法操作系统隔离控制安全措施 隔离 时间隔离 逻辑隔离和加密隔离操作系统访问控制安全措施 自主访问控制 强制访问控制 基于角色的访问控制 域和类型执行的访问控制 操作系统安全技术概述 操作系统资源防护技术系统登录和用户管理的安全 登录控制要严格 要加强系统的口令管理和良好的用户管理 操作系统安全技术概述 操作系统资源防护技术内存管理的安全 涉及单用户内存保护问题 多道程序的保护 标记保护法和分段与分页技术等文件系统的安全 涉及分组保护 许可权保护 指定保护等 操作系统安全技术概述 各类操作系统安全技术UNIX Linux系统安全技术Windows系统安全技术 操作系统安全技术概述 UNIX Linux系统安全技术UNIX Linux安全基础UNIX Linux安全机制UNIX Linux安全措施 各类操作系统安全技术 Windows系统安全技术Windows2000 XP系统安全基础Windows2000 XP系统安全机制Windows2000 XP系统安全措施 各类操作系统安全技术 Windows系统安全技术Windows系统安全措施初级篇Windows系统安全措施中级篇Windows系统安全措施高级编 Windows操作系统安全措施 禁用Guest账户在计算机管理的用户中将Guest账户禁用 任何时候都不允许Guest账户登陆系统为保险起见 最好给Guest加一个复杂的密码 作为Guest帐号的密码 并且修改Guest帐号的属性 设置拒绝远程访问 Windows系统安全措施初级篇 禁用Guest账户 Windows系统安全措施初级篇 停止使用 禁用Guest账户 Windows系统安全措施初级篇 限制用户数量帐户数量不要大于10个去掉所有的测试帐户 共享帐号用户组策略设置相应权限 且经常检查系统的帐户删除已经不使用的帐户 Windows系统安全措施初级篇 管理员帐号改名将Administrator帐号改名可以有效防止密码被盗用不要使用Admin之类的名字 这等于没有改 应尽量把它伪装成普通用户 Windows系统安全措施初级篇 陷阱帐号创建一个名为 Administrator 的帐户将它的权限设置成最低再加上一个超过10位的超级复杂密码 Windows系统安全措施初级篇 陷阱帐号创建一个名为 Administrator 的帐户将它的权限设置成最低再加上一个超过10位的超级复杂密码 Windows系统安全措施初级篇 陷阱帐号 安全密码好密码 安全期内无法破解出来的密码安全密码 42天内无法破解出来的密码密码策略 设置为42天必须改密码 Windows系统安全措施初级篇 安全密码 Windows系统安全措施初级篇 更改默认权限共享文件的权限从 Everyone 组改成 授权用户 Everyone 在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料任何时候不要把共享文件的用户设置成 Everyone 组 包括打印共享 默认的属性就是 Everyone 组的 一定不要忘了改 Windows系统安全措施初级篇 屏幕保护密码屏幕保护密码是防止内部人员破坏服务器的一个屏障用户所使用的计算机最好加上屏幕保护密码 Windows系统安全措施初级篇 NTFS分区把服务器的所有分区都改成NTFS格式 NTFS文件系统要比FAT FAT32的文件系统安全得多确认分区进入DOS输入命令 chkntfs盘符 Windows系统安全措施初级篇 NTFS分区转换分区 将FNT分区转换为NTFS分区 进入DOS输入命令 convert盘符 fs ntfs Windows系统安全措施初级篇 操作系统安全策略利用Windows安全配置工具配置安全策略管理工具 本地安全策略 Windows系统安全措施中级篇 关闭不必要的端口Winnt system32 drivers etc services Windows系统安全措施中级篇 开启审核策略安全审核是Windows最基本的入侵检测方法 当有人尝试对系统进行某种方式入侵时 都会被安全审核记录下来表中所列审核是必须开启的 其他的可以根据需要增加 Windows系统安全措施中级篇 开启审核策略 Windows系统安全措施中级篇 开启审核策略 Windows系统安全措施中级篇 开启密码策略密码对系统安全非常重要 本地安全设置中密码策略在默认情况下均未开启 Windows系统安全措施中级篇 开启密码策略密码对系统安全非常重要 本地安全设置中密码策略在默认情况下均未开启 Windows系统安全措施中级篇 开启帐户密码开启帐户策略可有效的防止字典式攻击 Windows系统安全措施中级篇 开启帐户密码开启帐户策略可有效的防止字典式攻击 Windows系统安全措施中级篇 备份敏感文件将敏感文件存放在另一文件服务器中虽然服务器硬盘容量都很大 但还是应考虑将一些重要数据存放在另外一个安全的服务器中 并且经常备份它们 Windows系统安全措施中级篇 不显示上次登录默认情况下 终端服务接入服务器时 登陆对话框中会显示上次登陆帐户名 本地登陆对话框也是一样设置方法 管理工具 本地安全策略 本地策略 安全选项 登录屏幕上不显示上次登录的用户名 已启用 确定 Windows系统安全措施中级篇 不显示上次登录默认情况下 终端服务接入服务器时 登陆对话框中会显示上次登陆帐户名 本地登陆对话框也是一样设置方法 管理工具 本地安全策略 本地策略 安全选项 登录屏幕上不显示上次登录的用户名 已启用 确定 Windows系统安全措施中级篇 不显示上次登录修改注册表禁止显示上次登录名在HKEY LOCAL MACHINE主键下修改子键 Software Microsoft WindowsNT CurrentVersion Winlogon DontDisplayLastUserName 将数值数据改成1 Windows系统安全措施中级篇 不显示上次登录修改注册表禁止显示上次登录名 Windows系统安全措施中级篇 不显示上次登录修改注册表禁止显示上次登录名 Windows系统安全措施中级篇 不显示上次登录修改注册表禁止显示上次登录名 Windows系统安全措施中级篇 输入1 不显示上次登录如果在HKEY LOCAL MACHINE Software Microsoft WindowsNT CurrentVersion Winlogon 中无DontDisplayLastUserName 则创建一个 并将数值数据置为1方法 Windows系统安全措施中级篇 右击鼠标 新建 字符串在项中输入相应名用前面方法修改数值数据为1 不显示上次登录方法右击鼠标 新建 字符串在项中输入相应名用前面方法修改数值数据为1 Windows系统安全措施中级篇 禁止建立空连接默认情况下 任何用户通过空连接连上服务器 可以枚举出帐号 猜测密码可通过修改注册表来禁止建立空连接在HKEY LOCAL MACHINE主键下修改子键 System CurrentControlSet Control LSA RestrictAnonymous 将键值改成 1 Windows系统安全措施中级篇 禁止建立空连接 Windows系统安全措施中级篇 下载最新的补丁很多网络管理员没有访问安全站点的习惯 不及时修被漏洞不能保证数百万行以上代码的Windows2000不出一点安全漏洞经常访问微软和一些安全站点 下载最新的ServicePack和漏洞补丁 是保障服务器长久安全的唯一方法可用一些常用漏洞扫描软件 先扫描出漏洞 Windows系统安全措施中级篇 关闭默认共享Windows安装后 系统会创建一些隐藏的共享 可以在DOS提示符下输入命令NetShare查看 Windows系统安全措施高级篇 知道某主机的用户名和密码使用IPC 例 已知IP为202 204 146 45计算机的管理员的密码为zxl 利用命令 IPC 应用 C netuse 202 204 146 45 ipc zxl user zxl 密码 用户名 知道某主机的用户名和密码使用IPC IPC 应用 建立IPC 连接D netuse 11 14 7 50 useradministratorliting使用COPY命令复制一个木马程序D copyd opentelnet bat 11 14 7 50 e winnt system32查看远程时间D attime 11 14 7 50 e winnt system32 如何利用IPC 入侵 添加计划任务D at 11 14 7 5020 05opentelnet bat等待时间到后门程序自动启动进入对方主机 如何利用IPC 入侵 关闭共享关闭139 445端口安装防火墙 设置端口过滤给计算机的重要帐户设置复杂密码 15 大小写字母符号 如何防范IPC 入侵 关闭默认共享停止默认共享方法 管理工具 计算机管理 共享文件夹 共享 在相应的共享文件夹上按右键 点停止共享 Windows系统安全措施高级篇 关闭默认共享 关闭默认共享 方法二 批处理自启动法打开记事本 输入以下内容netshareipc deletenetshareadmin deletenetsharec deletenetshared deletenetsharee delete 关闭默认共享 注意 有几个硬盘分区就写几行这样的命令 方法二 批处理自启动法保存为NotShare bat 注意后缀 把批处理文件拖到 程序 启动 项中如果需要开启某个或某些共享 只要将该批处理文件中相应的那行命令行删掉即可 关闭默认共享 方法三 注册表改键值法保存为NotShare bat 注意后缀 把批处理文件拖到 程序 启动 项中如果需要开启某个或某些共享 将该批处理文件中相应的那行命令行删掉 关闭默认共享 注意 有几个硬盘分区就写几行这样的命令 方法四 停止服务法 最简单的方式 找到 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services lanmanserver parameters 项 双击右侧窗口中的 AutoShareServer 项将键值由1改为0 关闭硬盘各分区的共享 如果没有AutoShareServer项 可自己新建一个再改键值 然后还是在这一窗口下再找到 AutoShareWks 项 也把键值由1改为0 关闭admin 共享 关闭默认共享 方法四 停止服务法 最简单的方式 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa 项处找到 restrictanonymous 将键值设为1 关闭IPC 共享 关闭默认共享 注意 此方法必须重启机器 一经改动永远停止共享 方法四 停止服务法 最简单的方式 在弹出的 常规 标签中把 启动类型 由原来的 自动 更改为 已禁用 然后单击下面 服务状态 的 停止 按钮确认 关闭默认共享 关闭默认共享 关闭默认共享 关闭默认共享 关闭默认共享 关闭默认共享 关闭默认共享 139端口可以通过NBT来屏蔽 屏蔽139端口 可以通过修改注册表来屏蔽找到HKEY LOCAL MACHINE添加一个新的键值System Controlset Services NetBT Parameters 屏蔽445端口 添加信息Key System Controlset Services NetBT ParametersName SMBDeviceEnabledType REG DWORDValue 0修改完后关闭注册表 重新启动 屏蔽445端口 禁用Dump文件在系统崩溃和蓝屏的时候 Dump文件是一份很有用资料 可以帮助查找问题 然而 也能够给黑客提供一些敏感信息 比如一些应用程序的密码等禁止方法 控制面板 系统 高级 启动和故障恢复 把写入调试信息改成无 Windows系统安全措施高级篇 加密Temp文件夹一些应用程序在安装和升级的时候 会把一些东西拷贝到Temp文件夹 但是当程序升级完毕或关闭的时候 并不会自己清除Temp文件夹的内容给Temp文件夹加密可以给你的文件多一层保护 Windows系统安全措施高级篇 锁住注册表在Windows2000中 只有Administrators和BackupOperators才有从网络上访问注册表的权限 当帐号的密码泄漏以后 黑客也可以在远程访问注册表 当服务器放到网络上的时候 一般需要锁定注册表 Windows系统安全措施高级篇 锁住注册表方法 修改Hkey current user下的子键 Software microsoft windows currentversion Policies system 把DisableRegistryTools的值改为0 类型为DWORD Windows系统安全措施高级篇 锁住注册表 Windows系统安全措施高级篇 禁止判断主机类型黑客利用TTL Time To Live 活动时间 值可以鉴别操作系统的类型 通过Ping指令能判断目标主机类型Ping的用处是检测目标主机是否连通 Windows系统安全措施高级篇 禁止判断主机类型许多入侵者首先会Ping一下主机 因为攻击某一台计算机需要根据对方的操作系统 是Windows还是Unix 如过TTL值为128就可以认为你的系统为Windows2000 Windows系统安全措施高级篇 禁止判断主机类型 Windows系统安全措施高级篇 禁止判断主机类型 Windows系统安全措施高级篇 禁止判断主机类型修改TTL值 入侵者就无法入侵了比如将操作系统的TTL值改为111 改主键HKEY LOCAL MACHINE的子键 SYSTEM CURRENT CONTROLSET SERVICES TCPIP PARAMETERS Windows系统安全措施高级篇 regedit exe 禁止判断主机类型设置完毕重新启动计算机用Ping指令 发现TTL值已被改成111 Windows系统安全措施高级篇 抵抗DDos添加注册表的一些键值 可以有效的抵抗DDos的攻击在键值 HKEY LOCAL MACHINE System CurrentControlSet Services Tcpip Parameters 下增加相应的键及其说明 Windows系统安全措施高级篇 抵抗DDos Windows系统安全措施高级篇 禁止Guest访问日志在默认安装的WindowsNT和Windows2000中 Guest帐号和匿名用户可以查看系统的事件日志 可能导致许多重要信息的泄漏 修改注册表来禁止Guest访问事件日志禁止Guest访问应用日志 Windows系统安全措施高级篇 禁止Guest访问日志禁止Guest访问应用日志HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Eventlog Application下添加键值名称为 RestrictGuestAccess 类型为 D